Criminelen die via JavaScript-code creditcardgegevens bij webwinkels stelen maken nu gebruik van favicons om hun kwaadaardige code te verbergen. Dat laat securitybedrijf Malwarebytes in een analyse weten. De afgelopen jaren zijn tal van webwinkels het slachtoffer geworden van aanvallen waarbij aanvallers toegang tot de webwinkels kregen en kwaadaardige code aan de pagina's toevoegden. Deze code onderschepte de creditcardgegevens van klanten die gingen afrekenen.

Bij een recent onderzoek ontdekten onderzoekers van Malwarebytes dat erbij verschillende gecompromitteerde webshops een favicon van een net geregistreerd domein werd geladen. Daarnaast was de server waarop het domein draaide recentelijk nog in verband gebracht met het stelen van creditcardgegevens bij webwinkels. In eerste instantie werd gedacht dat het favicon kwaadaardige JavaScriptcode-bevatte, maar dat bleek niet het geval te zijn. Het was een normale afbeelding waar de webshops gebruik van maakten.

Verder onderzoek wees uit dat het onschuldig lijkende favicon op de betaalpagina van de webwinkels in iets anders veranderd. Zodra klanten op de betaalpagina van de webshop terechtkomen stuurt de server van de aanvallers geen favicon terug, maar JavaScriptcode die een creditcardbetaalformulier toont. Gegevens die klanten hier invullen worden naar de aanvallers teruggestuurd. Onderzoeker Jerome Segura merkt op dat de code niet alleen creditcardgegevens verzamelt, maar ook persoonlijke informatie, zoals naam, adresgegevens, telefoonnummers en e-mailadres.